🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft desmontou um backdoor destrutivo do Windows que chama de GigaWiper. O que se destaca é como ele é construído: não uma ferramenta, mas três programas destrutivos mais antigos reunidos em um só, oferecidos como comandos que o operador pode escolher.
Cada uma é uma maneira diferente de quebrar uma máquina: limpar todo o disco, sobrescrever a unidade do Windows ou executar um “ransomware” falso que embaralha arquivos com uma chave que nunca salva.
Como se trata de malware e não de uma única falha, não há patch a ser perseguido; GigaWiper é o que um invasor executa depois de já estar dentro, o que torna a detecção precoce e os backups offline limpos a verdadeira defesa.
Os mesmos arquivos maliciosos aparecem em um segundo relatório com outro nome: BLUERABBIT, um backdoor de defesa binária sinalizado no mês passado.
A Microsoft lista quatro hashes para o backdoor GigaWiper; A Defesa Binária lista os mesmos quatro para BLUERABBIT, e ambos os servidores de comando correspondem. A Binary Defense, citando o Threat Intelligence Group do Google, vincula o malware a um provável grupo do Irã, direcionado a organizações israelenses. A Microsoft não cita nenhum país.
Três maneiras de destruir uma máquina
GigaWiper é escrito em Go (também chamado Golang) e roda em Windows. Ele recebe ordens como comandos numerados, e três deles destroem a máquina, cada um de uma maneira diferente:
Um limpador de disco bruto que substitui a unidade física e limpa a tabela de partição (o mapa de como o disco está organizado) antes de reinicializar. Não há exclusão arquivo por arquivo para reverter; destrói o conteúdo do disco diretamente.
Ransomware falso baseado em código antigo chamado Crucio. Ele criptografa arquivos, adiciona uma extensão .candy e altera o papel de parede da área de trabalho para uma imagem de aviso alarmante. Não há nota de resgate nem chave salva, portanto não há nada para pagar nem para descriptografar. Isso é destruição vestindo uma fantasia de ransomware.
O último tem como alvo a unidade do Windows, sobrescrevendo-a várias vezes com diferentes padrões de dados. A Microsoft diz que é uma reescrita em Go de um limpador que ele rastreia como FlockWiper.
Nada disso deixa caminho de volta: os arquivos criptografados não podem ser desbloqueados porque a chave desapareceu e as unidades apagadas só podem ser reconstruídas a partir de backups limpos. O objetivo é uma máquina morta, não um pagamento.
Ele também espiona
A destruição é apenas metade disso. O mesmo backdoor pode observar e controlar silenciosamente um PC infectado. Ele faz capturas de tela de cada monitor, grava a tela enquanto alguém está trabalhando e pode abrir uma sessão VNC oculta que transmite a exibição e permite que o invasor digite e mova o mouse.
Ele também coleta detalhes do sistema, gerencia programas e serviços em execução, edita o registro e pode limpar os logs de eventos do Windows para encobrir seus rastros. A Microsoft encontrou mais comandos inativos nas amostras examinadas, incluindo stubs para um keylogger e limpadores adicionais.
Para ficar fora de vista, o GigaWiper finge ser o OneDrive. Ele cria uma tarefa agendada chamada Atualização do OneDrive que é executada a cada minuto e se rastreia em uma chave de registro em HKCU\SOFTWARE\OneDrive\Environment. Quando abre seu canal de controle remoto, ele se esconde atrás de uma regra de firewall com o nome de um componente real do Windows, Microsoft.Windows.CloudExperienceHost.
Para seu tráfego de comando, ele ignora solicitações comuns da Web e utiliza serviços de negócios reais: RabbitMQ para tarefas, Redis para resultados e MinIO para exfiltração. Como essas são ferramentas legítimas, e não um canal de malware personalizado, o tráfego parece normal nas redes que já as executam.
De onde veio o GigaWiper
A Microsoft rastreia o código do falso ransomware do GigaWiper até o Crucio e seu limpador multipassagem até o FlockWiper, e avalia que o mesmo desenvolvedor construiu todos os três. Não nomeia nenhum país. Mas Crucio não é anônimo. Seu código foi listado como suspeito de ransomware em um comunicado da CISA de dezembro de 2023 sobre o CyberAv3ngers, um grupo ligado ao Corpo da Guarda Revolucionária Islâmica do Irã.
Essa é a mesma equipe, informou a THN, que invadiu locais de água e energia nos EUA, Israel, Reino Unido e Irlanda em 2023, acessando controladores industriais expostos à Internet. Num caso, eles assumiram o controle de uma estação de reforço em uma autoridade hídrica da Pensilvânia. A amostra do Crucio citada pela Microsoft traz a mesma impressão digital listada naquele comunicado.
A Microsoft também encontrou uma tag recorrente, “GRAT”, nos caminhos de depuração do FlockWiper e nos próprios nomes de funções do GigaWiper, unindo as duas ferramentas e sugerindo um componente adicional que ainda não apareceu. O momento difere de acordo com a fonte: a Microsoft data a atividade destrutiva em outubro de 2025, enquanto a Defesa Binária viu pela primeira vez os mesmos arquivos que o BLUERABBIT em março de 2026.
Parte de uma onda maior
A atividade de limpadores de para-brisa ligada ao Irã contra Israel gerou repetidos avisos ao longo de 2025 e 2026. A Unidade 42 da Palo Alto Networks rastreou um aumento paralelo, grande parte dele vindo de um grupo separado, Handala Hack, e em março de 2026 a Diretoria Cibernética Nacional de Israel alertou sobre ataques de limpadores de para-brisa iranianos
Cada uma é uma maneira diferente de quebrar uma máquina: limpar todo o disco, sobrescrever a unidade do Windows ou executar um “ransomware” falso que embaralha arquivos com uma chave que nunca salva.
Como se trata de malware e não de uma única falha, não há patch a ser perseguido; GigaWiper é o que um invasor executa depois de já estar dentro, o que torna a detecção precoce e os backups offline limpos a verdadeira defesa.
Os mesmos arquivos maliciosos aparecem em um segundo relatório com outro nome: BLUERABBIT, um backdoor de defesa binária sinalizado no mês passado.
A Microsoft lista quatro hashes para o backdoor GigaWiper; A Defesa Binária lista os mesmos quatro para BLUERABBIT, e ambos os servidores de comando correspondem. A Binary Defense, citando o Threat Intelligence Group do Google, vincula o malware a um provável grupo do Irã, direcionado a organizações israelenses. A Microsoft não cita nenhum país.
Três maneiras de destruir uma máquina
GigaWiper é escrito em Go (também chamado Golang) e roda em Windows. Ele recebe ordens como comandos numerados, e três deles destroem a máquina, cada um de uma maneira diferente:
Um limpador de disco bruto que substitui a unidade física e limpa a tabela de partição (o mapa de como o disco está organizado) antes de reinicializar. Não há exclusão arquivo por arquivo para reverter; destrói o conteúdo do disco diretamente.
Ransomware falso baseado em código antigo chamado Crucio. Ele criptografa arquivos, adiciona uma extensão .candy e altera o papel de parede da área de trabalho para uma imagem de aviso alarmante. Não há nota de resgate nem chave salva, portanto não há nada para pagar nem para descriptografar. Isso é destruição vestindo uma fantasia de ransomware.
O último tem como alvo a unidade do Windows, sobrescrevendo-a várias vezes com diferentes padrões de dados. A Microsoft diz que é uma reescrita em Go de um limpador que ele rastreia como FlockWiper.
Nada disso deixa caminho de volta: os arquivos criptografados não podem ser desbloqueados porque a chave desapareceu e as unidades apagadas só podem ser reconstruídas a partir de backups limpos. O objetivo é uma máquina morta, não um pagamento.
Ele também espiona
A destruição é apenas metade disso. O mesmo backdoor pode observar e controlar silenciosamente um PC infectado. Ele faz capturas de tela de cada monitor, grava a tela enquanto alguém está trabalhando e pode abrir uma sessão VNC oculta que transmite a exibição e permite que o invasor digite e mova o mouse.
Ele também coleta detalhes do sistema, gerencia programas e serviços em execução, edita o registro e pode limpar os logs de eventos do Windows para encobrir seus rastros. A Microsoft encontrou mais comandos inativos nas amostras examinadas, incluindo stubs para um keylogger e limpadores adicionais.
Para ficar fora de vista, o GigaWiper finge ser o OneDrive. Ele cria uma tarefa agendada chamada Atualização do OneDrive que é executada a cada minuto e se rastreia em uma chave de registro em HKCU\SOFTWARE\OneDrive\Environment. Quando abre seu canal de controle remoto, ele se esconde atrás de uma regra de firewall com o nome de um componente real do Windows, Microsoft.Windows.CloudExperienceHost.
Para seu tráfego de comando, ele ignora solicitações comuns da Web e utiliza serviços de negócios reais: RabbitMQ para tarefas, Redis para resultados e MinIO para exfiltração. Como essas são ferramentas legítimas, e não um canal de malware personalizado, o tráfego parece normal nas redes que já as executam.
De onde veio o GigaWiper
A Microsoft rastreia o código do falso ransomware do GigaWiper até o Crucio e seu limpador multipassagem até o FlockWiper, e avalia que o mesmo desenvolvedor construiu todos os três. Não nomeia nenhum país. Mas Crucio não é anônimo. Seu código foi listado como suspeito de ransomware em um comunicado da CISA de dezembro de 2023 sobre o CyberAv3ngers, um grupo ligado ao Corpo da Guarda Revolucionária Islâmica do Irã.
Essa é a mesma equipe, informou a THN, que invadiu locais de água e energia nos EUA, Israel, Reino Unido e Irlanda em 2023, acessando controladores industriais expostos à Internet. Num caso, eles assumiram o controle de uma estação de reforço em uma autoridade hídrica da Pensilvânia. A amostra do Crucio citada pela Microsoft traz a mesma impressão digital listada naquele comunicado.
A Microsoft também encontrou uma tag recorrente, “GRAT”, nos caminhos de depuração do FlockWiper e nos próprios nomes de funções do GigaWiper, unindo as duas ferramentas e sugerindo um componente adicional que ainda não apareceu. O momento difere de acordo com a fonte: a Microsoft data a atividade destrutiva em outubro de 2025, enquanto a Defesa Binária viu pela primeira vez os mesmos arquivos que o BLUERABBIT em março de 2026.
Parte de uma onda maior
A atividade de limpadores de para-brisa ligada ao Irã contra Israel gerou repetidos avisos ao longo de 2025 e 2026. A Unidade 42 da Palo Alto Networks rastreou um aumento paralelo, grande parte dele vindo de um grupo separado, Handala Hack, e em março de 2026 a Diretoria Cibernética Nacional de Israel alertou sobre ataques de limpadores de para-brisa iranianos
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #gigawiper #windows #backdoor #inclui #limpeza #de #disco, #ransomware #falso #e #spyware
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário